为执行 Horizon Cloud 日常操作,对于在 Microsoft Azure 中使用 2019 年 9 月版本及更高版本新部署的容器或更新至 2019 年 9 月版本级别的容器,其特定端口和协议要求与先前部署的容器有所不同。新部署的容器或更新至 2019 年 9 月版本的容器具有清单版本 1600 或更高版本。

重要事项:

除了此处所述的端口和协议外,您还必须满足 DNS 要求。有关详细信息,请参阅Microsoft Azure 中的 Horizon Cloud 容器的 DNS 要求

用于日常操作的关键容器组件所需的端口和协议

除了 DNS 要求以外,还需要使用下表中的端口和协议以使容器在部署后正常执行日常操作。

在下面的表格中,“管理器虚拟机”一词是指容器的管理器虚拟机。在 Microsoft Azure 门户中,此虚拟机的名称中包含一个类似于 vmw-hcs-podID 的部分(其中 podID 是容器的 UUID)以及 node 部分。

重要事项: 启用了高可用性的容器具有两个管理器虚拟机。打开了高可用性的容器只有一个管理器虚拟机。在下面的表格中,除非另行说明,否则无论您在哪里看到“管理器虚拟机”一词,均指已启用高可用性的容器中的所有管理器虚拟机。

使用 2019 年 9 月版本的清单版本或更高版本的所有容器都具有一个容器 Microsoft Azure 负载均衡器。涉及容器负载均衡器的表行适用于使用清单级别 1600 或更高版本的所有容器。

表 1. 容器操作端口和协议
目标 端口 协议 用途
管理器虚拟机 容器的其他管理器虚拟机 4101 TCP 对于启用了高可用性的容器,此流量是在管理器虚拟机之间路由的 JMS。
管理器虚拟机 Unified Access Gateway 虚拟机 9443 HTTPS 容器管理器虚拟机使用该端口通过管理子网在容器的 Unified Access Gateway 配置中配置设置。在最初部署具有 Unified Access Gateway 配置的容器以及编辑容器以添加 Unified Access Gateway 配置或更新该 Unified Access Gateway 配置的设置时,该端口要求适用。
容器的 Microsoft Azure 负载均衡器 管理器虚拟机 8080 HTTP 负载均衡器后端池中的虚拟机的运行状况检查。当使用此版本清单版本的容器未启用高可用性时,负载均衡器会检查后端池中的一个管理器虚拟机。
管理器虚拟机 域控制器 389 TCP

UDP

LDAP 服务。在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。
管理器虚拟机 全局目录 3268 TCP LDAP 服务。在 Active Directory 配置中包含全局目录角色的服务器。要求在 Active Directory 中注册容器。
管理器虚拟机 域控制器 88 TCP

UDP

Kerberos 服务。在 Active Directory 配置中包含域控制器角色的服务器。要求在 Active Directory 中注册容器。
管理器虚拟机 DNS 服务器 53 TCP

UDP

DNS 服务。
管理器虚拟机 NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。
管理器虚拟机 True SSO 注册服务器 32111 TCP True SSO 注册服务器。如果未在容器中使用 True SSO 注册服务器功能,则是可选的。
管理器虚拟机 Workspace ONE Access 服务 443 HTTPS
注: 此行适用于具有单容器代理配置的环境。此信息不适用于具有 Universal Broker 配置的环境。在具有单容器代理配置的环境中, Workspace ONE Access Connector 与一个容器通信,以获取最终用户授权(分配)。
如果未将 Workspace ONE Access 与容器集成,则是可选的。在具有单容器代理配置的环境中,此连接用于在容器与 Workspace ONE Access 服务之间建立信任关系,其中 Workspace ONE Access Connector 与容器同步。确保容器可以在端口 443 上访问您使用的 Workspace ONE Access 环境。如果使用 Workspace ONE Access 云服务,另请参阅 VMware 知识库文章 2149884,以查看 Workspace ONE Access Connector 和容器必须能够访问的 Workspace ONE Access 服务 IP 地址列表。
临时 jump box 虚拟机 管理器虚拟机 22 TCP 如前面的容器 Jump Box 在容器部署和容器更新期间所需的端口和协议中所述,在容器部署和容器更新过程中,将会使用临时 jump box。即使日常过程不需要这些端口,在容器部署和容器更新过程中,此 jump box 虚拟机也必须使用 SSH 通过管理器虚拟机的端口 22 来与管理器虚拟机进行通信。有关 jump box 虚拟机需要此通信的各类情况的详细信息,请参阅容器 Jump Box 在容器部署和容器更新期间所需的端口和协议
注: 使用清单版本 1600 或更高版本且已启用高可用性功能的容器将具有两个管理器虚拟机。上一段落中使用“可能不止一个”指示 jump box 虚拟机必须与容器的所有管理器虚拟机进行通信,无论该容器只有一个管理器虚拟机还是有两个管理器虚拟机。
临时 jump box 虚拟机 Unified Access Gateway 虚拟机 9443 HTTPS jump box 虚拟机会通过管理子网使用该端口在容器的 Unified Access Gateway 配置中配置设置。在最初为容器部署 Unified Access Gateway 配置以及编辑容器以向容器添加 Unified Access Gateway 配置时,需要满足该端口要求。

网关连接器虚拟机端口和协议要求

此表适用于在单独的 VNet 中部署了外部网关时所使用的网关连接器虚拟机。除了 DNS 要求以外,还需要使用下表中的端口和协议以使外部网关在部署后正常执行日常操作。

在下表中,“连接器虚拟机”一词是指网关的连接器虚拟机,用于管理云管理平面与外部网关之间的连接。在 Microsoft Azure 门户中,此虚拟机的名称中包含一个类似于 vmw-hcs-ID 的部分(其中 ID 是网关的部署程序 ID)以及一个 node 部分。

表 2. 容器操作端口和协议
目标 端口 协议 用途
连接器虚拟机 DNS 服务器 53 TCP

UDP

DNS 服务。
连接器虚拟机 NTP 服务器 123 UDP NTP 服务。提供 NTP 时间同步的服务器。
临时 jump box 虚拟机 连接器虚拟机 22 TCP 如前面的容器 Jump Box 在容器部署和容器更新期间所需的端口和协议中所述,在外部网关部署和更新过程中,将会使用临时 jump box。即使日常过程不需要这些端口,在部署和更新过程中,此 jump box 虚拟机也必须使用 SSH 通过连接器虚拟机的端口 22 来与连接器虚拟机进行通信。

Unified Access Gateway 虚拟机端口和协议要求

除了 DNS 及上述主端口和协议要求以外,下表中的端口和协议与您在容器上配置的网关有关,使用这些端口和协议可使这些网关在部署后正常执行日常操作。

对于配置了 Unified Access Gateway 实例且启用了高可用性的容器所建立的连接,必须允许将流量从容器的 Unified Access Gateway 实例传输到下表中列出的目标。在容器部署期间,在 Microsoft Azure 环境中创建了一个网络安全组 (NSG) 以供容器的 Unified Access Gateway 软件使用。

表 3. 来自容器的 Unified Access Gateway 实例的流量的端口要求
目标 端口 协议 用途
Unified Access Gateway 容器的 Microsoft Azure 负载均衡器 8443 TCP 登录身份验证流量。来自 Unified Access Gateway 实例的流量将通过容器的负载均衡器到达容器的管理器虚拟机。
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme

默认情况下,在使用 Blast Extreme 时,客户端驱动器重定向 (CDR) 流量和 USB 流量是在该端口的侧通道中传输的。如果需要,可以将 CDR 流量拆分到 TCP 9427 端口上,并将 USB 重定向流量拆分到 TCP 32111 端口上。

Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 9427 TCP 对客户端驱动器重定向 (CDR) 和多媒体重定向 (MMR) 流量是可选的。
Unified Access Gateway 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 32111 TCP 对 USB 重定向流量是可选的。
Unified Access Gateway 您的 RADIUS 实例 1812 UDP 对 Unified Access Gateway 配置使用 RADIUS 双因素身份验证时使用。此处显示了 RADIUS 的默认值。

Universal Broker 所需的端口和协议

要支持使用 Universal Broker 以便对容器中的最终用户分配进行代理,您必须按照下表所述配置端口 443。活动容器管理器通过端口 443 与 Universal Broker 服务建立持久 WebSocket 连接,并通过随机选择的端口从 Universal Broker 服务接收连接请求。

表 4. Universal Broker 的端口要求
源端口 目标 目标端口 协议 用途
活动容器管理器 从可用端口中随机选择 Universal Broker 服务 443 最初为 HTTPS,然后为 WebSocket 用于与 Universal Broker 服务建立持久的 WebSocket 连接

最终用户连接流量端口和协议要求

有关最终用户可以在您的 Horizon Cloud 容器中使用的各种 Horizon Client 的详细信息,请参阅 Horizon Client 文档页面,网址为 https://docs.vmware.com/cn/VMware-Horizon-Client/index.html。要将来自最终用户连接的流量传输到容器置备的虚拟桌面和远程应用程序,必须打开哪些端口取决于选择的最终用户连接方式:

当您选择用于将外部网关配置部署在容器自身的 VNet 中的部署程序选项时
部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与 DMZ 子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为公共负载均衡器该图表启用了高可用性并配置了外部和内部 Unified Access Gateway 配置的容器的 Horizon Cloud 容器架构示意图描述了此公共负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,Internet 上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,外部网关的负载均衡器位于名为 vmw-hcs-podID-uag 的资源组中,其中 podID 是容器的 UUID。
当您选择用于部署内部 Unified Access Gateway 配置的部署程序选项时
默认情况下,内部网关配置会部署在容器自身的 VNet 中。部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与租户子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为内部负载均衡器该图表启用了高可用性并配置了外部和内部 Unified Access Gateway 配置的容器的 Horizon Cloud 容器架构示意图描述了此内部负载均衡器和 Unified Access Gateway 实例的位置。当您的容器使用该配置时,公司网络上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,内部网关的负载均衡器位于名为 vmw-hcs-podID-uag-internal 的资源组中,其中 podID 是容器的 UUID。
当您选择用于将外部网关配置部署在其自身的 VNet(而不是容器的 VNet)中的部署程序选项,或者用于使用其自身的订阅的选项(这是使用其自身的 VNet 的特殊子案例,因为 VNet 不会跨订阅)时
部署程序将在您的 Microsoft Azure 环境中部署 Unified Access Gateway 实例,同时将这些实例的 Microsoft Azure 负载均衡器资源部署在该负载均衡器的后端池中。该负载均衡器将与 DMZ 子网上这些实例的网卡进行通信,并 在 Microsoft Azure 中配置为公共负载均衡器图表将外部网关部署在其自身的 VNet(不同于容器的 VNet)中时的外部网关架构元素示意图描述了此公共负载均衡器和 Unified Access Gateway 实例在网关自身的 VNet 中的位置。当您的容器使用该配置时,Internet 上最终用户的流量会转至该负载均衡器,然后由它将请求分配给 Unified Access Gateway 实例。对于该配置,您必须确保这些最终用户连接可以使用下面列出的端口和协议访问该负载均衡器。在部署后,外部网关的负载均衡器位于名为 vmw-hcs-ID-uag 的资源组中,其中 ID 是容器详细信息页面的 部署程序 ID 字段中显示的值。如本 管理指南中所述,您可以从控制台的“容量”页面访问容器的详细信息页面。
容器清单 2298 及更高版本不支持:移除 Unified Access Gateway 配置后,在容器上使用零 Unified Access Gateway 配置继续运行
清单 2298 或更高版本的容器必须至少具有一个网关配置,才能对其执行支持的操作。只有 2298 版本之前的清单才可能出现此情况。
注意: 在生产系统中,对于内部用户访问,最佳做法是在容器上使用内部 Unified Access Gateway 网关配置,而不是直接连接到容器。
在具有单容器代理和 Workspace ONE Access 与容器集成的配置中,您通常会让最终用户通过 Workspace ONE Access 进行连接。在这种情况下,必须配置 Workspace ONE Access 和直接指向容器的 Workspace ONE Access Connector。您的最终用户使用 Workspace ONE Access 连接到其容器置备的资源。 对于该配置,您需使用控制台中的容器摘要页面将 SSL 证书上载到容器管理器虚拟机,如直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接中所述。然后,完成将 Workspace ONE Access 与容器集成的步骤。
表 5. 容器配置具有外部 Unified Access Gateway 实例时的外部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅了解什么是 URL 内容重定向

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP HTML Access
表 6. 容器配置具有内部 Unified Access Gateway 实例时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。还可以传输客户端驱动器重定向 (CDR)、多媒体重定向 (MMR)、USB 重定向和隧道 RDP 流量。

默认情况下,将为客户端连接启用 SSL(HTTPS 访问)。在某些情况下,可以使用端口 80(HTTP 访问)。请参阅了解什么是 URL 内容重定向

Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 4172 TCP

UDP

通过 Unified Access Gateway 上的 PCoIP 安全网关的 PCoIP
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 UDP 使用通过 Unified Access Gateway 的 Blast Extreme 传输数据流量。
Horizon Client 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 8443 UDP 使用通过 Unified Access Gateway 上的 Blast 安全网关的 Blast Extreme 传输数据流量(自适应传输)。
浏览器 这些 Unified Access Gateway 实例的 Microsoft Azure 负载均衡器 443 TCP HTML Access
表 7. 使用直接容器连接(例如,通过 VPN)时的内部最终用户连接端口和协议
目标 端口 协议 用途
Horizon Client 容器的 Microsoft Azure 负载均衡器 443 TCP 登录身份验证流量。来自客户端的流量将通过容器的负载均衡器到达容器的管理器虚拟机。
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 4172 TCP

UDP

PCoIP
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 22443 TCP

UDP

Blast Extreme
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 32111 TCP USB 重定向
Horizon Client 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 9427 TCP 客户端驱动器重定向 CDR) 和多媒体重定向 (MMR)
浏览器 桌面虚拟机或场 RDSH 虚拟机中的 Horizon Agent 443 TCP HTML Access

从基础虚拟机、VDI 桌面虚拟机和场 RDSH 虚拟机中的 Horizon Agent 传输流量的端口和协议要求

以下端口必须允许在基础虚拟机、桌面虚拟机和场 RDSH 虚拟机中安装的 Horizon Agent 相关软件与容器的管理器虚拟机之间传输流量。

目标 端口 协议 用途
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 Horizon Agent 管理器虚拟机 4001 TCP Java 消息服务(JMS,非 SSL),虚拟机中的代理使用该服务来在证书指纹验证和交换过程中与容器进行通信,以保护与容器的 SSL 连接。在虚拟机和容器管理器之间协商并交换密钥后,代理会使用端口 4002 创建安全的 SSL 连接。例如,“导入的虚拟机”页面上的重置代理配对操作需要通过端口 4001 进行通信,以便在导入的基础虚拟机和容器之间进行该代理配对工作流。
注: 稳定状态操作需要端口 4001 和 4002。有时候代理可能需要为容器重新设置密钥,因此端口 4001 必须保持为打开状态。
导入的基础虚拟机、最佳配置映像、桌面虚拟机、场 RDSH 虚拟机中的 Horizon Agent 管理器虚拟机 4002 TCP Java 消息服务(JMS,SSL),这些虚拟机中的代理使用该服务来通过安全的 SSL 连接与容器进行通信。
桌面虚拟机或场 RDSH 虚拟机中的 FlexEngine 代理(适用于 VMware Dynamic Environment Manager 的代理) 设置为供桌面虚拟机或场 RDSH 虚拟机中运行的 FlexEngine 代理使用的那些文件共享 445 TCP 如果您使用 VMware Dynamic Environment Manager 功能,则 FlexEngine 代理访问您的 SMB 文件共享。

在容器部署过程中,部署程序会在部署的所有虚拟机的网络接口 (NIC) 上创建网络安全组 (NSG)。有关这些 NSG 中定义的规则的详细信息,请参阅适用于 Microsoft Azure 中部署的 Horizon Cloud 容器内的虚拟机的默认网络安全组规则

注: 我们不会在 Horizon Cloud 知识库 (Knowledge Base, KB) 文章中列出 DNS 名称、IP 地址、端口和协议,而是在此处将它们作为 Horizon Cloud 核心文档的一部分提供。